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TOR ESA Testé en entreprise 


Dans la peau d’un pirate pour mieux 
voir les vulnérabilités de son réseau 


Auditer la 
sécurité de son a sécurité du système d'in- , 

F à formation est d'autant plus l'audit en ligne joue 
réseau depuis délicate à contrôler dansle le rôle d'un juge de paix 
i z temps que l'infrastructure A la suite du scan, le responsable 
internet n est évolue. La tâche qui incombe aux de sécurité obtient un rapport des 
pas la panacée. responsables de la sécurité est vulnérabilités dévoilées. En fait, 
Mai ] donc double. Elle se partage ce document qualifie l'état de ce 

als Cela entre la mise en place d’une qu'un « internaute hostile peut 
pe rmet architecture fiable et son contrôle déceler depuis internet, et donc les 
fréquent. Ce dernier exige un au- failles potentielles qu'il pourrait 


d'identifier les 
failles les plus 
évidentes et les 
plus aisément 
exploitables. 


TETE 


En marge des tests 
d'intrusion, l'audit en ligne 
de vulnérabilités dévoile 

les failles d'un réseau telles 
qu'elles peuvent être vues 
par un internaute hostile. 
L'entreprise lance, 

via internet, un scan sur 

les adresses IP de son choix. 
L'outil d'audit, hébergé par 


l'éditeur, scrute les machines. 


Un rapport liste l'ensemble 
des lacunes des systèmes 

et fournit des préconisations 
quant aux corrections 

à effectuer. Ces rapports sont 
à prendre avec précaution. 
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dit des systèmes. En marge des 
prestations humaines réalisées 
par des SSII ou des cabinets de 
consultants en sécurité, les entre- 
prises peuvent avoir recours à des 
audits en ligne. Une technologie 
qui a vu le jour à la fin des années 
90 afin de compléter le travail 
de détection d'intrusions. « J'uti- 
lisais un outil d'audit interne, qui 
me rassurait sur le fait que nos 
machines semblaient parfaitement 
étanches », explique Laurent 
Muller, directeur général et direc- 
teur informatique de la société 
Alban Muller, fournisseur des 
industries pharmaceutiques et 
cosmétiques. L'apport de l'audit 
en ligne est la vue du réseau de- 
puis internet. « Un seul scan d'es- 
sai de l'outil de Qualys a suffi pour 
révéler que nos machines n'étaient 
pas si étanches que cela», recon- 
naît Laurent Muller. 


exploiter», précise Stéphane 
Kersulec, directeur télécoms, 
réseaux et bureautique du Club 
Méditerranée. Ce dernier utilise 
l'audit en ligne de la société d'o- 
rigine rennaise Intranode, à la fois 
pour tester son accès internet et 
pour mesurer la qualité de service 
du prestataire d'hébergement de 
ses sites institutionnels. Stéphane 
Kersulec compte toutefois en 
priorité sur son expertise et sur 
celle de ses équipes d'ingénieurs: 
« Le service d'Intranode joue le 
rôle d'un juge de paix. » Les diffé- 
rents rapports des outils d'audit 
en ligne livrent des préconisations 
sur les correctifs à appliquer 
aux failles $ 

Tous ceux qui les utilisent pré- 
viennent qu'il ne faut pas les pren- 
dre au pied de la lettre. « J'obtiens 
des commentaires très précis et très 
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pertinents sur les vulnérabilités, qui 
me permettent de bien appliquer un 
patch», tempère Laurent Muller. 
Avant de reconnaître que son goût 
personnel pour la sécurité et sa 
formation d'ingénieur en électro- 
nique l’aident dans sa tâche. 
« L'analyse consolidée est indis- 
pensable. C'est-à-dire que nous croi- 
sons les données du rapport avec 
la réalité de notre infrastructure et 
les données obtenues auprès des 
fournisseurs », insiste Stéphane 
Kersulec, qui voit surtout dans 
l'audit le moyen de s'assurer que 
les systèmes sont à l'état de l'art. 


Des faux positifs 

à surveiller 

Une opinion et un recul partagés 
par Olivier Pantaléo, directeur de 
l’activité consulting chez Cyber 
Networks, société spécialiste des 


«Le dernier patch 
à la mode 
dont il faut se méfier » 


> CLUB MÉDITERRANÉE 
. + Activité: groupe de tourisme. 
+ Localisation: 330 sites 


dans une quarantaine de pays. 
~ Effectif: 22 000 salariés. 


* Chiffre d'affaires 2002: 1,74 Md€. 


+ Technologie: Activesentry Web 
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architectures de communication 
sécurisées, et utilisatrice du ser- 
vice d’Intranode. « Ces outils 
restent des automates. Un impor- 
tant traitement humain doit donc 
venir compléter leur veille. » Et l'on 
retrouve les mêmes travers que 
dans le domaine de la détection 
d'intrusions : un nombre impor- 
tant de faux positifs. « Le souci est 
que ces outils n'effectuent pas 
de tests intrusifs. Ils ne forcent pas 
les vulnérabilités. Par exemple, 
sur la base d'une information 
récupérée sur la version d'un sys- 
tème d'exploitation ou d'ùn logi- 
ciel, ils vont se contenter de lister 
l'ensemble des vulnérabilités affé- 
rentes. Mais combien seront réel- 
lement applicables à l'entreprise 
cliente?» s'interroge Olivier 
Pantaléo. Seule l'expertise hu- 
maine distingue le faux positif. 


D'ailleurs, ces outils n'ont pas 
servi, dans les cas présents, à 
remettre en cause l'infrastructure. 
Notamment en ce qui concerne le 
Club Méditerranée, une structure 
qui dispose en interne de compé- 
tences pour sécuriser suffisam- 
ment en amont son réseau. 
D'ailleurs, d’une fréquence heb- 
domadaire, l'entreprise est rapi- 
dement passée à des scans men- 
suels, entrecoupés d'interventions 
ponctuelles du personnel en char- 
ge de la sécurité des zones démi- 
litarisées. La PME Alban Muller 
a, quant à elle, revu la configura- 
tion de certaines machines. Et elle 
réserve particulièrement ses scans 
aux modifications opérationnel- 
les de l'infrastructure. « C'est alors 
un bon garde-fou », résume Lau- 
rent Muller. 

Christophe Dupont 


> CYBER NETWORKS 
+ Activité: intégration et 
conseil en architectures 
de communication sécurisées 
et en environnement 


collaboratif. 


+ Localisation: Suresnes, Lyon, Nantes. 


+ Effectif: 85 personnes. 

+ Chiffre d'affaires 2003: 13 M€. 

+ Technologie: Activesentry Web 
pour des prestations d'audit 
auprès de ses clients. 
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«L’audit m'assure que les failles 
les plus évidentes sont corrigées » 
| > ALBAN MULLER INTERNATIONAL | 


| - Activité: conception de + Chiffre d'affaires 2002: 20 ME. 
produits pour les industries * Technologie: Qualysguard, de 
de la beauté et de la santé. l'Américain Qualys pour auditer 
+ Localisation: Vincennes, une douzaine de serveurs 
Montreuil et Chartres. et un réseau de cent postes. 
FE Put S N EAR aj 
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